Los hackers con acceso al Sistema de señalización 7 (SS7) utilizado para conectar redes móviles en todo el mundo pudieron obtener acceso a los datos de mensajería y correo electrónico de Telegram de personas de alto perfil en el negocio de las criptomonedas
En lo que se cree que es un ataque dirigido, los piratas informáticos buscaban códigos de inicio de sesión de autenticación de dos factores (2FA) entregados a través del sistema de mensajes cortos del proveedor de telefonía móvil de la víctima.
Hackers bien preparados
Los piratas informáticos que realizan un ataque SS7 pueden interceptar mensajes de texto y llamadas de un destinatario legítimo actualizando la ubicación de su dispositivo como si estuviera registrado en una red diferente (escenario de itinerancia).
El ataque ocurrió en septiembre y apuntó al menos a 20 suscriptores de Partner Communications Company (antes conocida como Orange Israel), todos ellos involucrados a un nivel superior en proyectos de criptomonedas.
Tsachi Ganot, cofundador de Pandora Security en Tel-Aviv, quien investigó el incidente y ayudó a las víctimas a recuperar el acceso a sus cuentas, le dijo a BleepingComputer que todas las pistas apuntan a un ataque SS7.
Pandora Security se especializa en la creación de entornos digitales seguros y proporciona tecnología y servicios cibernéticos para personas de alto perfil, como figuras de negocios y celebridades prominentes. Según Ganot, los clientes incluyen a algunas de las personas más ricas del mundo.
Ganot nos dijo que los piratas informáticos probablemente falsificaron el centro de servicio de mensajes cortos (SMSC) de un operador de red móvil (no identificado al momento de escribir este artículo) para enviar una solicitud de actualización de ubicación para los números de teléfono específicos al Socio (otros proveedores aún pueden ser vulnerables a este tipo de ataque).
La solicitud de actualización básicamente le pedía a Partner que enviara al MSC falso todas las llamadas de voz y mensajes SMS destinados a las víctimas.
Ganot dice que los atacantes tenían un buen conocimiento sobre las diversas cuentas de sus víctimas y contraseñas filtradas. Sabían números de suscriptores internacionales únicos (MSISDN - Número de directorio de suscriptores internacionales de estaciones móviles) y números de Identidad de suscriptores móviles internacionales (IMSI).
Los ataques SS7, si bien son más frecuentes en los últimos años, no son fáciles de realizar y requieren un buen conocimiento de las redes móviles domésticas que interactúan y enrutan la comunicación a nivel global.
En este caso, el objetivo de los hackers era obtener criptomonedas. Ganot cree que algunas de las bandejas de entrada comprometidas de esta manera actuaron como un método de respaldo para otras cuentas de correo electrónico con datos más ricos, lo que permitió al actor de amenazas lograr su objetivo.
"En algunos casos, los piratas informáticos se hicieron pasar por las víctimas en sus cuentas de mensajería instantánea [de Telegram] y escribieron a algunos de sus conocidos, pidiendo intercambiar BTC por ETC y cosas por el estilo" - Tsachi Ganot
Este método es bien conocido en la comunidad de las criptomonedas y los usuarios suelen ser cautelosos con este tipo de solicitudes. Ganot dice que "hasta donde sabemos, nadie cayó en el anzuelo".
Aunque el envío de códigos de verificación por SMS se considera inseguro en la comunidad de seguridad de la información, y por una buena razón, muchos servicios todavía dependen de esta práctica, lo que pone en riesgo a los usuarios.
Hoy en día existen mejores métodos de autenticación que los SMS o la autenticación 2FA basada en llamadas. Las aplicaciones creadas específicamente para este propósito o las claves físicas se encuentran entre las soluciones, dice Ganot, y agrega que los estándares de telecomunicaciones deben alejarse de los protocolos heredados como SS7 (desarrollado en 1975), que no puede abordar los problemas modernos.
El periódico israelí Haaretz publicó detalles sobre este ataque a principios de este mes, diciendo que la agencia de inteligencia nacional de Israel (Mossad) y la Autoridad Nacional de Seguridad Cibernética del país participaron en la investigación.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
